Cloud & sécurité, soyons coresponsables !

La sécurité est un travail d’équipe et il faut que les prestataires de Cloud et leurs clients travaillent main dans la main pour proposer une sécurité optimum au client final.

Pour les DSI, l’adoption du Cloud se fait souvent à reculons. Le Cloud entrainerait des problèmes de sécurité, notamment parce qu’on laisserait la gestion de son infrastructure à des tiers.
La question ne se situe pas à ce niveau. Ce n’est pas au fournisseur de Cloud de gérer la sécurité de son client, car ce dernier en est en fait le seul maître. Le fournisseur de Cloud met à disposition des outils permettant la mise œuvre d’une politique de sécurité, mais c’est au client de les utiliser à bon escient.
La sécurité est l’affaire de tous et pas celle du seul prestataire de Cloud. Il faut que tous se responsabilisent pour que les applications délivrées au travers du Cloud offrent le meilleur niveau de sécurité à l’utilisateur final.

Avons-nous la même définition de la sécurité en matière de Cloud ?

La sécurité est l’état d’une situation présentant le minimum de risque. Pour arriver à cette situation il faut mettre en œuvre certaines dispositions.
A un premier niveau, le prestataire de Cloud met en place des mesures de sécurité pour protéger l’API et l’infrastructure qui lui permettent d’orchestrer sa solution et par conséquent, de préserver les informations d’authentification de ses clients.
Le fournisseur de Cloud propose ensuite des outils et instructions qui permettront aux clients de mettre en place les mesures de sécurité spécifiques à son infrastructure, comme la gestion des flux ou bien une liste de bonnes pratiques pour chiffrer un disque.
En mettant en œuvre de telles mesures, dans le Cloud lui-même comme dans une infrastructure IT traditionnelle, on tend vers un état de sécurité apportant un niveau de risque minimum.
Se montrer agile pour faire évoluer sa gestion du risque
Dans la gestion du risque, il faut autant que possible rester mobile. Lorsqu’on met en place un système de management de la sécurité, on ne peut rester figé dans le temps. Les menaces évoluent et il est essentiel que la gestion du risque suive ce mouvement.
Il faut régulièrement remettre en cause l’efficacité des dispositifs de sécurité en place et s’informer des nouvelles menaces qui ne manquent pas d’apparaître. On parle d’amélioration continue telle que définie dans de nombreuses normes visant à structurer un système de management (qualité, sécurité, etc.)
De cet état des lieux, mené régulièrement côté prestataire et côté client, chacun ajuste sa gestion du risque et met en place les mesures nécessaires face aux nouvelles menaces pour ramener le risque à un niveau acceptable.

La foire aux labels de certification, est-ce bien utile ?

Pléthore de labels et de certifications voient le jour en matière de Cloud. Montrer patte blanche pour un prestataire Cloud est devenu légion pour accéder aux appels d’offres et optimiser ses chances de se voir référencer par un acheteur. Cependant comme nous l’avons vu plus haut, s’engager seul à proposer une infrastructure 100 % infaillible est une chimère. La coresponsabilité des deux signataires est primordiale !
Il reste bien un élément sur lequel le prestataire Cloud peut s’engager : sécuriser ses infrastructures, ses technologies, ses sites de production et aussi ses procédures de travail en interne ; en résumé : sécuriser son Système de management de la sécurité et de l’information (SMSI). Le SMSI  met en place un ensemble de politiques et de processus concernant la gestion de la sécurité de l’information.
La norme ISO 27001 dans sa dernière version 2013, certifie qu’une société possède un système de management de la sécurité de l’information conforme à celle-ci.  Les prestataires de Cloud justifiant d’une telle certification donnent l’assurance que des processus et des mesures sont mis en œuvre pour maximiser la protection des infrastructures et par conséquent des données des clients.
Cela valorise fortement, par exemple, les solutions SaaS des éditeurs de logiciels qui s’appuient sur des infrastructures de Cloud Computing certifiée ISO 2007:2013
L’organisation qu’elle amène permet au client d’intégrer plus facilement le prestataire de Cloud à sa gestion des risques. Pour le client, le fait de prendre la décision de s‘appuyer sur un Cloud certifié ISO 27001:2013,  lui permet de renforcer son expertise et son engagement sur le marché de par le niveau d’exigence élevé qu’il démontre. Sur ce point, les normes sont bien différentes des labels tant l’effort organisationnel, la qualification par un organisme tiers de confiance régulier et les budgets investis sont très importants.
Ces normes assurent la mise en œuvre d’un processus d’amélioration continue. Celui-ci consiste souvent à un modèle dit « Roue de Deming » qui impose de respecter le cycle suivant :
  • Plan : Préparer, planifier ce que l’on va réaliser,
  • Do : Développer, réaliser, mettre en œuvre,
  • Check : Contrôler, vérifier,
  • Act : Agir, ajuster, réagir
La sécurité est un travail d’équipe et il faut que les prestataires de Cloud et leurs clients travaillent main dans la main pour proposer une sécurité optimum au client final. La sécurité des infrastructures et des données est bien le résultat d’un engament mutuel.

SaaS / Certification